No es ningún secreto que la autenticación del correo electrónico puede ser bastante vulnerable. Esto es especialmente cierto cuando los correos electrónicos se reenvían con cabeceras modificadas, líneas de asunto cambiadas o archivos adjuntos eliminados. Estos pequeños cambios pueden poner en peligro la firma DKIM.
Se han introducido varias puertas de enlace de correo electrónico seguro (SEG), como Proofpoint, para abordar este problema. Estas SEG pueden abordar los problemas de autenticación de correos electrónicos alterados reautenticándolos. Aunque este método es suficientemente bueno para mitigar los fallos de autenticación, plantea nuevos riesgos.
Por desgracia, en marzo de 2024 se detectó una vulnerabilidad en el servicio de retransmisión de correo electrónico de Proofpoint. Ha permitido a varios actores maliciosos explotar un ajuste de configuración. Este proofpoint fallo de enrutamiento de correo electrónico permitió a los atacantes enviar millones de mensajes falsos.
En este artículo, aprenderá todo sobre EchoSpoofing y el reciente exploit de enrutamiento de correo electrónico de Proofpoint.
Entender el exploit de enrutamiento de correo electrónico de Proofpoint
Los actores maliciosos encontraron una manera de explotar una vulnerabilidad en el servicio de retransmisión de correo electrónico de Proofpoint, un ajuste de configuración que acepta correos electrónicos de cualquier inquilino de Microsoft 365. Tras recibir estos correos electrónicos, Proofpoint los vuelve a autenticar añadiendo una firma DKIM nueva y válida.
El fallo en los ajustes de configuración permite a los autores falsificar cualquier nombre de dominio. Esto les permite enviar correos electrónicos que parecen proceder de fuentes legítimas, en una serie de campañas de phishing denominadas "EchoSpoofing".
¿Qué es EchoSpoofing?
El exploit ha sido bautizado como "EchoSpoofing" por Gaurdio Labs. Se trata de una técnica mediante la cual los atacantes envían correos electrónicos desde servidores SMTP. Estos servidores SMTP están alojados en Servidores Privados Virtuales (VPS), y los mensajes enviados pasan fácilmente las comprobaciones de autenticación de correo electrónico, incluyendo SPF y DKIM. Estos correos de EchoSpoofing imitan correos legítimos de remitentes de confianza.
Microsoft 365 permite enviar correos electrónicos desde cualquier dominio elegido por el usuario. Aunque es conocido por permitir el envío de mensajes de correo electrónico desde inquilinos incluso de aspecto sospechoso, los hackers del exploit EchoSpoofing utilizaron este fallo para enviar mensajes desde inquilinos de Office 365 controlados por el atacante. Los clientes de Proofpoint que autorizaban a Microsoft 365 como remitente legítimo se metían inadvertidamente en un lío. Estos inquilinos de Office 365 controlados por atacantes obtuvieron un pase libre para retransmitir los correos electrónicos de EchoSpoofing a través del servicio de retransmisión de Proofpoint con una etiqueta de autenticación y firmas DKIM válidas.
Proofpoint, en su artículo explicando el ataque, reveló que "La causa raíz es una función de configuración de enrutamiento de correo electrónico modificable en los servidores de Proofpoint para permitir la retransmisión de los mensajes salientes de las organizaciones desde los inquilinos de Microsoft 365, pero sin especificar qué inquilinos M365 permitir."
Consecuencias del EchoSpoofing
Si eres usuario de Microsoft 365 y utilizas Secure Email Gateway de Proofpoint para bloquear correos electrónicos maliciosos a través de un sistema de retransmisión, debes tener cuidado, ya que cualquier otro inquilino de Microsoft 365 podría suplantar tu dominio. Como Proofpoint no puede filtrar explícitamente a los inquilinos específicos de Office 365 y los autoriza a todos, si ha definido a Microsoft como remitente legítimo, los actores maliciosos pueden suplantar fácilmente su dominio para enviar correos electrónicos de suplantación de identidad.
Los correos electrónicos falsos enviados a través de este sistema no se marcan como sospechosos, ni siquiera pasan la comprobación DMARC. comprobación DMARCy llegan directamente a la bandeja de entrada del destinatario.
La magnitud de la explotación
Los ataques tuvieron un alcance significativamente amplio.
Empresas destinatarias
El nuevo método de "Ecospoofing" tenía como objetivo varias marcas conocidas. Entre ellas figuran Nike, IBM, Walt Disney y Best Buy, entre otras.
Estrategias de respuesta y mitigación de Proofpoint
Después de que se detectara el problema, Proofpoint lanzó varias medidas para contrarrestar esta vulnerabilidad rápidamente. Entre ellas, permitir a los clientes especificar ahora los inquilinos permitidos de Microsoft 365. Proofpoint aseguró a sus clientes que, aunque todos los sistemas de enrutamiento de correo electrónico son vulnerables en cierta medida, los datos de los clientes no se vieron expuestos ni comprometidos durante los ataques.
Seguridad del correo electrónico con PowerDMARC
La avanzada plataforma de autenticación de correo electrónico basada en IA de PowerDMARC ofrece seguridad y visibilidad en lo que respecta a la mayoría de las amenazas y exploits basados en el correo electrónico. Nuestra tecnología de inteligencia de amenazas es experta en realizar predicciones basadas en datos sobre patrones y tendencias de amenazas, con un equipo de expertos que le guiarán para reforzar su postura de autenticación del correo electrónico.
Las API detalladas de PowerDMARC permiten a los clientes integrar perfectamente nuestra plataforma con sus sistemas de seguridad existentes, incluidos SEG como Proofpoint, ¡lo que proporciona una mayor seguridad!
Además, ayudamos a los propietarios de dominios a aplicar políticas DMARC como "rechazar", lo que les permite combatir eficazmente los ataques de suplantación de identidad.
Palabras finales
El exploit EchoSpoofing pone de manifiesto una importante vulnerabilidad en el sistema de enrutamiento de correo electrónico de Proofpoint, lo que demuestra que incluso las soluciones de seguridad de confianza pueden tener puntos ciegos.
Los atacantes no son nuevos en el aprovechamiento de configuraciones erróneas en los sistemas de correo electrónico para eludir los controles de autenticación, lanzando campañas de phishing generalizadas. Aunque Proofpoint ha respondido con medidas correctivas, este incidente subraya la importancia de la seguridad proactiva del correo electrónico impulsada por un equipo de expertos.
Para explorar estrategias de protección para su nombre de dominio y aplicar correctamente la autenticación de su correo electrónico - póngase en contacto hoy mismo para hablar con uno de nuestros expertos profesionales.
- Caso práctico de DMARC MSP: CloudTech24 simplifica la gestión de la seguridad de dominios para clientes con PowerDMARC - 24 de octubre de 2024
- Los riesgos de seguridad de enviar información sensible por correo electrónico - 23 de octubre de 2024
- 5 tipos de estafas por correo electrónico a la Seguridad Social y cómo prevenirlas - 3 de octubre de 2024